Une nouvelle campagne d’espionnage menée par le groupe InvisiMole a permis aux chercheurs d’ESET de découvrir leurs outils et une coopération stratégique avec le groupe Gamaredon.
En enquêtant sur une nouvelle campagne d’InvisiMole, un groupe de pirates signalé pour la première fois par ESET en 2018, les chercheurs d’ESET ont découvert la boîte à outils actualisée du groupe ainsi que des informations précédemment inconnues sur son mode de fonctionnement. Les conclusions sont le fruit d’une enquête menée en collaboration avec les entités concernées. Le groupe InvisiMole a refait surface pour une nouvelle campagne avec un ensemble d’outils actualisés ciblant plusieurs organisations de haut niveau dans le secteur militaire et les missions diplomatiques en Europe de l’Est. Selon les données d’ESET, les tentatives d’attaque se sont poursuivies de fin 2019 jusqu’à au moins juin 2020, date à laquelle les chercheurs d’ESET ont publié leurs conclusions.
Actif depuis au moins 2013, le groupe InvisiMole a été signalé pour la première fois par ESET dans le cadre d’opérations de cyberespionnage ciblées en Ukraine et en Russie, à l’aide de deux portes dérobées intégrant des fonctionnalités enrichies pour espionner les victimes. « À l’époque, lorsque nous avons découvert ces portes dérobées étonnamment bien équipées, il nous manquait une grande partie des informations. Nous ne savions pas comment elles étaient diffusées, livrées et installées dans les systèmes, » explique Zuzana Hromcová, la chercheuse d’ESET qui a analysé InvisiMole.
Grâce à l’enquête menée en coopération avec les organisations concernées, les chercheurs d’ESET ont eu l’occasion d’effectuer des analyses approfondies des campagnes d’InvisiMole. « Nous avons pu documenter le vaste ensemble d’outils utilisés pour la livraison, le mouvement latéral et le fonctionnement des portes dérobées d’InvisiMole, » ajoute Anton Cherepanov, le chercheur d’ESET qui a mené l’enquête.
L’une des principales conclusions de l’enquête concerne la coopération du groupe InvisiMole avec Gamaredon, un autre groupe de pirates. Les chercheurs ont découvert que l’arsenal d’InvisiMole n’a été utilisé qu’après que Gamaredon ait déjà infiltré un réseau ciblé, et ait éventuellement réussi à obtenir des privilèges administrateur.
« Nos chercheurs estiment que les cibles considérées comme particulièrement importantes par les pirates sont travaillées par le malware avancé d’InvisiMole au lieu du malware relativement simple de Gamaredon. Cela permet au groupe InvisiMole de concevoir des méthodes créatives pour échapper à toute détection, » commente Mme Hromcová.
Le groupe utilise des portes dérobées et des analyseurs de fichiers pour identifier et collecter des documents sensibles dans un système compromis, afin de les télécharger sur un serveur de commande et de contrôle. Ces analyseurs de fichiers possèdent également des fonctions d'exécution de code arbitraire à partir du serveur de commande et de contrôle.
Les chercheurs ont découvert que pour ce faire, InvisiMole utilise quatre chaînes d’infection différentes, élaborées en combinant un shellcode malveillant avec des outils légitimes et des exécutables vulnérables. Pour éviter que les chercheurs en sécurité ne découvrent le malware, les composants d’InvisiMole sont protégés par un chiffrement spécifique à chaque victime, garantissant ainsi que le code malveillant ne puisse être déchiffré et exécuté que sur l’ordinateur concerné. L’ensemble d’outils actualisés d’InvisiMole comporte également un nouveau composant qui utilise le tunneling DNS pour une communication plus furtive avec le serveur de commande et de contrôle.
En analysant la boîte à outils actualisée du groupe, les chercheurs ont observé des améliorations substantielles par rapport aux versions précédemment analysées. « Grâce à ces nouvelles connaissances, nous serons en mesure de surveiller encore plus étroitement les activités malveillantes du groupe, » conclut Mme Hromcová.
Pour une analyse technique approfondie de la nouvelle boîte à outils d’InvisiMole, consultez le livre blanc « InvisiMole : Nouveau chapitre de l’histoire » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitt
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.